Requisitos de sincronización de Azure AD con Apple School Manager
Puedes usar SCIM (Sistema para la gestión de identidades entre dominios) para importar usuarios en Apple School Manager. Este sistema permite fusionar propiedades de Apple School Manager (como los cursos y las funciones) con datos de la cuenta del usuario importados de Microsoft Azure Active Directory (Azure AD). Si utilizas SCIM para importar usuarios, la información de la cuenta se añadirá como información de solo lectura hasta que interrumpas la conexión con SCIM. En ese momento, las cuentas pasarán a ser manuales y sus atributos se podrán editar. La sincronización inicial es más lenta que los ciclos posteriores, que tienen lugar aproximadamente cada 40 minutos (siempre que el servicio de aprovisionamiento de Azure AD esté activo). Consulta Sugerencias de aprovisionamiento en el sitio web de la documentación de Microsoft Azure.
Privilegios de Azure AD
Las siguientes funciones de Azure AD pueden usar SCIM para sincronizar cuentas en Apple School Manager:
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Propietario de la aplicación
Administrador global
Consulta Roles integrados de Azure AD en el sitio web de Microsoft Azure AD.
Inquilinos de Azure AD
Para usar SCIM con Apple School Manager, tu organización no puede tener el mismo inquilino de Azure AD que otra organización de Apple School Manager. Si quieres usar SCIM para tu organización, contacta con tu administrador de Azure AD para asegurarte de que ninguna otra organización utiliza tu inquilino de Azure AD para SCIM.
Grupos de Azure AD
En Azure AD, ambos métodos de sincronización utilizan la palabra Grupos, pero solo se sincronizan cuentas de usuario. Puedes añadir grupos de Azure AD a la app Apple School Manager Azure AD. Por ejemplo, si tienes grupos en Azure AD llamados “Miembros del personal”, Profesores y Estudiantes, puedes añadirlos a la app Apple School Manager Azure AD. Cuando te conectes mediante SCIM, solo las cuentas de esos grupos se sincronizarán en Apple School Manager.
Nota: La app Apple School Manager Azure AD no admite subgrupos.
Ámbito de aprovisionamiento
Las cuentas de Azure AD se pueden sincronizar en Apple School Manager de dos formas.
Sincronizar solo los usuarios y grupos asignados: esta opción solo sincroniza en Apple School Manager las cuentas que aparecen en la app Apple School Manager Azure AD. Si se utiliza este método de sincronización, las cuentas de Azure AD deben tener la función de usuario para sincronizarse con Apple School Manager.
Sincronizar todos los usuarios y grupos: esta opción sincroniza en Apple School Manager todas las cuentas (la sincronización de grupos no es compatible) que aparecen en la pestaña de usuario de Azure AD y crea ID de Apple gestionados para todas las cuentas de Azure AD vinculadas, aunque solo vayas a usar un número de cuentas específico.
Consulta los artículos de soporte técnico de Microsoft ¿Qué es el aprovisionamiento de aplicaciones en Azure Active Directory? y Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.
Notificaciones de aprovisionamiento
Cuando configures el aprovisionamiento, utiliza la dirección de correo electrónico de un usuario que tenga la función de administrador, gestor de sede o gestor de personas para que pueda recibir notificaciones de Azure AD.
SCIM y autenticación vinculada
Si la vinculación ya está activada cuando las cuentas de Azure AD se envíen a Apple School Manager, no verás una actividad, pero las cuentas del dominio vinculado se sincronizarán.
Azure AD es el proveedor de identidad (IdP) que autentica al usuario en Apple School Manager y emite los identificadores de autenticación. Como Apple School Manager es compatible con Azure AD, otros IdP que se conecten a Azure AD, como los Servicios de federación de Active Directory (ADFS), también funcionarán. La autenticación vinculada usa el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para conectar Apple School Manager con Azure AD.
Cuentas de usuario de Azure AD y Apple School Manager
Cuando se copia un usuario de Azure AD en Apple School Manager mediante SCIM, la función predeterminada es la de estudiante. Una vez que la sincronización haya finalizado, se podrán editar estos atributos de usuario:
Funciones
Curso
Nombre de usuario del Sistema de Información de Estudiantes (SIE)
Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se copian otra vez en Azure AD.
Asignación de atributos de usuario de SCIM
Cuando se copia una cuenta de Azure AD en Apple School Manager mediante SCIM, los siguientes atributos de usuario se guardan como de solo lectura. La tabla también especifica si el atributo de usuario es obligatorio.
Importante: Si se añaden atributos que no constan en la tabla, la conexión SCIM se desactivará.
Atributo de usuario de Azure AD | Atributo de usuario en Apple School Manager | Obligatorio |
---|---|---|
Nombre | Nombre | |
Apellidos | Apellidos | |
Nombre principal de usuario | ID de Apple gestionado y dirección de correo electrónico | |
ID de objeto | (No se muestra en Apple School Manager. Este atributo se utiliza para identificar cuentas en conflicto). | |
Departamento | Departamento | |
ID de empleado | Número personal | |
Atributo personalizado (debe crearse en la app Apple School Manager Azure AD) | Centro de costes | |
Atributo personalizado (debe crearse en la app Apple School Manager Azure AD) | División |
Nombre principal de usuario
Si un usuario tiene un nombre principal de usuario (UPN) que coincide exactamente con un usuario existente de Apple School Manager que tiene la función de administrador, gestor de sede o gestor de personas, no se lleva a cabo la sincronización y se conserva el campo de origen. No importa el método de sincronización que se utilizara originalmente (SIE o SFTP).
ID personal
Al sincronizar una cuenta de usuario de Azure AD en Apple School Manager, se crea un ID personal para la cuenta de usuario de Apple School Manager. El ID personal y el ID de objeto se usan para identificar cuentas de usuario en conflicto.
El ID personal se genera automáticamente para los usuarios importados mediante SCIM o la integración con el SIE, pero no se genera automáticamente a partir de los usuarios importados mediante SFTP.
Si SCIM está desconectado y se usa SFTP para cargar usuarios otra vez, se crearán usuarios nuevos a no ser que el ID personal del archivo cargado en SFTP coincida con el ID personal asignado por SCIM. Consulta Importar cuentas mediante SFTP.
Si modificas el ID personal de una cuenta importada previamente desde SCIM, esa cuenta dejará de estar enlazada con Azure AD. Si has modificado el ID personal de una cuenta importada previamente desde SCIM y quieres volver a conectar la cuenta con SCIM, consulta Resolver los conflictos de cuentas de usuario de SCIM.
Recomendaciones
Deberías utilizar solo la app Apple School Manager Azure AD cuando te conectes a SCIM.
Si tienes un dominio verificado, pero no has activado la autenticación vinculada, no deberías activar la vinculación hasta haber verificado que se han enviado los usuarios de Azure AD a Apple School Manager. Para comprobarlo, consulta los registros de aprovisionamiento de Azure AD. Tras verificar que se han enviado los usuarios de Azure AD, al activar la vinculación, una actividad te notificará cuando los usuarios de Azure AD completen el aprovisionamiento. Si la vinculación ya está activada cuando se envíen las cuentas de Azure AD, no verás una actividad, pero los usuarios se sincronizarán.
Si tienes un grupo configurado en Azure AD, puedes añadirlo a la app Apple School Manager Azure AD, en lugar de añadir los usuarios de forma individual.
Importante: No reutilices un nombre de usuario en un periodo de 120 días en la app Apple School Manager Azure AD.
Antes de empezar
Antes de empezar, debes hacer lo siguiente:
Desconéctate de tu Sistema de Información de Estudiantes (SIE) o detén las cargas que usen SFTP.
Configura y verifica el dominio que quieras utilizar. Consulta Enlazar a nuevos dominios.
Configura la autenticación vinculada (pero no la actives). Consulta Activar y probar la autenticación vinculada.
Nota: Si la autenticación vinculada ya está activada, puedes proceder igualmente. Consulta las recomendaciones de la sección anterior.
Determina el tipo de sincronización en Azure AD y, si es necesario, crea grupos para sincronizar solo las cuentas asignadas a la app Apple School Manager Azure AD:
Sincronizar solo los usuarios asignados.
Sincronizar todos los usuarios.
Ten localizable un administrador de Azure AD que tenga permisos para modificar aplicaciones empresariales. Cuando ambas partes estéis preparadas, consulta Usar SCIM para importar usuarios.